PT-2021-22490 · Nexto+1 · Nexto Xpress Xp340+14

D. Teuchert

Publicado

2021-08-23

Atualizado

2021-08-26

CVE-2021-39245

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Nome do software vulnerável e versões afetadas

Nexto NX3003 versão 1.8.11.0

Nexto NX3004 versão 1.8.11.0

Nexto NX3005 versão 1.8.11.0

Nexto NX3010 versão 1.8.3.0

Nexto NX3020 versão 1.8.3.0

Nexto NX3030 versão 1.8.3.0

Nexto NX5100 versão 1.8.11.0

Nexto NX5101 versão 1.8.11.0

Nexto NX5110 versão 1.1.2.8

Nexto NX5210 versão 1.1.2.8

Nexto Xpress XP300 versão 1.8.11.0

Nexto Xpress XP315 versão 1.8.11.0

Nexto Xpress XP325 versão 1.8.11.0

Nexto Xpress XP340 versão 1.8.11.0

Hadron Xtorm HX3040 versão 1.7.58.0

Descrição

Existem credenciais .htaccess codificadas para getlogs.cgi nos dispositivos Altus Nexto, Nexto Xpress e Hadron Xtorm.

Recomendações

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Using Hardcoded Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-798

Identificadores relacionados

CVE-2021-39245

Produtos afetados

Hadron Xtorm Hx3040

Nexto Nx3003

Nexto Nx3004

Nexto Nx3005

Nexto Nx3010

Nexto Nx3020

Nexto Nx3030

Nexto Nx5100

Nexto Nx5101

Nexto Nx5110

Nexto Nx5210

Nexto Xpress Xp300

Nexto Xpress Xp315

Nexto Xpress Xp325

Nexto Xpress Xp340

PT-2021-22490 · Nexto+1 · Nexto Xpress Xp340+14

CVE-2021-39245

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5